JP7352092B2 - 制御方法、情報処理装置及び制御プログラム - Google Patents

制御方法、情報処理装置及び制御プログラム Download PDF

Info

Publication number
JP7352092B2
JP7352092B2 JP2019232215A JP2019232215A JP7352092B2 JP 7352092 B2 JP7352092 B2 JP 7352092B2 JP 2019232215 A JP2019232215 A JP 2019232215A JP 2019232215 A JP2019232215 A JP 2019232215A JP 7352092 B2 JP7352092 B2 JP 7352092B2
Authority
JP
Japan
Prior art keywords
servers
request
address
certificate
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019232215A
Other languages
English (en)
Other versions
JP2021099754A (ja
Inventor
孝一 矢崎
大 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2019232215A priority Critical patent/JP7352092B2/ja
Priority to EP20204942.5A priority patent/EP3843357B1/en
Priority to US17/093,338 priority patent/US11647011B2/en
Publication of JP2021099754A publication Critical patent/JP2021099754A/ja
Application granted granted Critical
Publication of JP7352092B2 publication Critical patent/JP7352092B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/145Detection or countermeasures against cache poisoning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、制御方法、情報処理装置及び制御プログラムに関する。
一般的に、インターネット上におけるデータの送受信は、データの送信先に対応するIPアドレスをDNS(Domain Name System)サーバから取得することによって行われる。
具体的に、送信先のサーバ(以下、送信先サーバとも呼ぶ)に対してデータを送信する送信元のサーバ(以下、送信元サーバとも呼ぶ)は、サーバの識別情報(ドメイン名等)とIPアドレスとを対応付けて管理するDNSサーバにアクセスし、送信先サーバのIPアドレスを取得する。そして、送信元サーバは、DNSサーバから取得したIPアドレスに対してデータを送信することにより、送信先サーバに対するデータの送信を行う。
ここで、近年では、インターネット上において多くのビジネスデータ(決済情報や個人情報等のデータ)の送受信が行われるようになり、また、IPアドレスが頻繁に変更する仮想サーバの利用が増加している。そのため、近年では、上記のようなDNSサーバの重要度が高まっており、これに伴い、DNSサーバに対する外部からの攻撃が増加している(例えば、特許文献1参照)。
特開2017-103614号公報
上記のようなDNSサーバに対する攻撃には、例えば、DNSサーバが管理するレコードの書き換えやネットワーク上のルータが管理するルーティングテーブルの書き換えが含まれる。
そのため、DNSサーバがこのような攻撃を受けた場合、インターネット上においてデータの送受信を行う各サーバは、攻撃者のDNSサーバ(以下、偽のDNSサーバとも呼ぶ)が送信したIPアドレスを受け取る可能性があり、通信の安全性を確保することができなくなる場合がある。
そこで、一つの側面では、本発明は、所望のIPアドレスではないIPアドレスを取得することの防止を可能とする制御方法、情報処理装置及び制御プログラムを提供することを目的とする。
実施の形態の一態様では、端末装置が、複数のサーバの証明書を管理する第1管理サーバに対して、いずれかのサーバの証明書の送信要求を送信し、前記端末装置が、前記いずれかのサーバの証明書を受信すると、受信した前記証明書に含まれる情報に基づき、受信した前記証明書の発行元の認証局を特定し、前記端末装置が、特定した前記認証局に対して、前記いずれかのサーバのアドレス情報の送信要求を送信する。
一つの側面によれば、所望のIPアドレスではないIPアドレスを取得することの防止を可能とする。
図1は、情報処理システム10の構成について説明する図である。 図2は、端末装置3のハードウエア構成を説明する図である。 図3は、CTログサーバ4のハードウエア構成を説明する図である。 図4は、通信先サーバ2のハードウエア構成を説明する図である。 図5は、認証局サーバ1のハードウエア構成を説明する図である。 図6は、DNSサーバ5のハードウエア構成を説明する図である。 図7は、端末装置3の機能のブロック図である。 図8は、CTログサーバ4の機能のブロック図である。 図9は、通信先サーバ2の機能のブロック図である。 図10は、認証局サーバ1の機能のブロック図である。 図11は、DNSサーバ5の機能のブロック図である。 図12は、第1の実施の形態における制御処理の概略を説明するフローチャート図である。 図13は、第1の実施の形態における制御処理の概略を説明する図である。 図14は、第1の実施の形態における制御処理の詳細を説明するフローチャート図である。 図15は、第1の実施の形態における制御処理の詳細を説明するフローチャート図である。 図16は、第1の実施の形態における制御処理の詳細を説明するフローチャート図である。 図17は、第1の実施の形態における制御処理の詳細を説明するフローチャート図である。 図18は、第1の実施の形態における制御処理の詳細を説明するフローチャート図である。 図19は、第1の実施の形態における制御処理の詳細を説明するフローチャート図である。 図20は、第1対応情報131の具体例について説明する図である。 図21は、第2対応情報531の具体例について説明する図である。 図22は、第2の実施の形態における制御処理を説明するフローチャート図である。 図23は、第2の実施の形態における制御処理を説明するフローチャート図である。 図24は、第3の実施の形態における端末装置3の機能のブロック図である。 図25は、第3の実施の形態における制御処理を説明するフローチャート図である。 図26は、第3の実施の形態における制御処理を説明するフローチャート図である。 図27は、第3の実施の形態における制御処理を説明するフローチャート図である。
[情報処理システムの構成]
初めに、情報処理システム10の構成について説明を行う。図1は、情報処理システム10の構成について説明する図である。
図1に示す情報処理システム10は、公開鍵の認証局として機能する認証局サーバ1と、通信先サーバ2と、端末装置(以下、情報処理装置とも呼ぶ)3と、CTログサーバ(以下、第1管理サーバとも呼ぶ)4と、DNSサーバ(以下、第2管理サーバとも呼ぶ)5とを有する。
なお、以下、認証局サーバ1、通信先サーバ2、端末装置3、CTログサーバ4及びDNSサーバ5のそれぞれが1つずつ存在する場合について説明を行うが、情報処理システム10は、同一の機能を有するサーバ(装置)を複数有するものであってもよい。
図1に示す例において、端末装置3は、作業者が必要な情報の入力等を行うPC(Personal Computer)である。具体的に、端末装置3は、例えば、作業者が通信先サーバ2との間においてデータの送信を行う旨の情報を入力した場合、通信先サーバ2に対してアクセスを行う。
ここで、端末装置3は、通信先サーバ2に対してアクセスを行う場合、通信先サーバ2のIPアドレスを取得する必要がある。
そのため、通信先サーバ2は、図1に示すように、例えば、自サーバのIPアドレスをDNSサーバ5に予め登録しておく。そして、端末装置3は、通信先サーバ2に対してアクセスを行う場合、DNSサーバ5に対して通信先サーバ2のIPアドレスについての問い合わせを行う。その後、端末装置3は、DNSサーバ5から送信された通信先サーバ2のIPアドレスに対してアクセスを行う。
また、図1に示す例において、認証局サーバ1は、通信先サーバ2から公開鍵の証明書(以下、単に証明書とも呼ぶ)の発行要求を受信した場合、通信先サーバ2に対して証明書を発行する。そして、認証局サーバ1は、この場合、通信先サーバ2の証明書をCT(Certificate Transparency)ログサーバ4に登録する。CTログサーバ4は、各認証局サーバ(認証局サーバ1を含む)による証明書の誤発行や各認証局サーバに対する攻撃等を検知することを目的として、各認証局サーバが発行した証明書の登録を行うサーバである。
ここで、近年では、インターネット上において多くのビジネスデータ(決済情報や個人情報等のデータ)の通信が行われており、また、IPアドレスの変更が頻繁に行われる仮想サーバの利用頻度が増加している。そのため、上記のようなDNSサーバ5の重要度が従来よりも高まっており、これに伴い、DNSサーバ5に対する外部からの攻撃が増加している。
具体的に、DNSサーバに対する攻撃には、例えば、DNSサーバ5が管理するレコードの書き換えや、ネットワーク上に配備されたルータ(図示しない)が管理するルーティングテーブルの書き換えが含まれる。
そのため、DNSサーバ5が上記のような攻撃を受けた場合、端末装置3は、偽のDNSサーバ(図示しない)が送信したIPアドレス(通信先サーバ2のIPアドレスではない偽のIPアドレス)を受け取る可能性があり、通信の安全性を確保することができない場合がある。
そこで、DNSサーバ5は、例えば、端末装置3に送信するIPアドレスに署名を付加するDNSSEC(DNS Security Extensions)技術を用いる。具体的に、DNSサーバ5は、DNSサーバ5の署名鍵(図示しない)を用いることによってIPアドレスから署名を生成し、生成した署名をIPアドレスに付加してから端末装置3に送信する。そして、端末装置3は、DNSサーバ5から受信したIPアドレスと、DNSサーバ5の公開鍵(図示しない)を用いることによって署名から復元したIPアドレスとが一致することの確認を行う。
これにより、端末装置3では、DNSサーバ5から送信されたIPアドレスが所望のIPアドレスであることの確認を行うことが可能になる。
しかしながら、この場合、DNSサーバ5では、署名鍵をDNSサーバ5内の安全な場所(以下、格納場所とも呼ぶ)において厳重に管理する必要がある。また、DNSサーバ5では、この場合、通信先サーバ2においてIPアドレスの変更等が行われるごとに、署名鍵を格納場所から取り出して処理を行う必要がある。そのため、上記のようなDNSSEC技術を用いる場合、DNSサーバ5における署名鍵の管理コストが高くなる。
そこで、本実施の形態における端末装置3は、複数のサーバの証明書を管理するCTログサーバ4に対して、通信先サーバ2の証明書の送信要求を送信する。そして、端末装置3は、CTログサーバ4から通信先サーバ2の証明書を受信すると、受信した証明書に含まれる情報に基づき、受信した証明書の発行元の認証局サーバ1を特定する。その後、端末装置3は、特定した認証局サーバ1に対して、通信先サーバ2のIPアドレスの送信要求を送信する。
すなわち、本実施の形態における端末装置3は、DNSサーバ5に対してIPアドレスの問い合わせを行うことなく、通信先サーバ2のIPアドレスを取得する。
これにより、端末装置3は、所望のIPアドレスではないIPアドレスが取得されることを抑制することが可能になる。
[情報処理システムのハードウエア構成]
次に、情報処理システム10のハードウエア構成について説明する。
[端末装置のハードウエア構成]
初めに、端末装置3のハードウエア構成について説明する。図2は、端末装置3のハードウエア構成を説明する図である。
端末装置3は、図2に示すように、プロセッサであるCPU301と、メモリ302と、通信装置303と、記憶媒体304とを有する。各部は、バス305を介して互いに接続される。
記憶媒体304は、例えば、通信先サーバ2のIPアドレスの取得を制御する処理(以下、制御処理とも呼ぶ)を行うためのプログラム310を記憶するプログラム格納領域(図示しない)を有する。また、記憶媒体304は、例えば、制御処理を行う際に用いられる情報を記憶する記憶部330(以下、情報格納領域330とも呼ぶ)を有する。なお、記憶媒体304は、例えば、HDD(Hard Disk Drive)やSSD(Solid State Drive)であってよい。
CPU301は、記憶媒体304からメモリ302にロードされたプログラム310を実行して制御処理を行う。
また、通信装置303は、ネットワークNWを介して通信先サーバ2等との通信を行う。
[CTログサーバのハードウエア構成]
次に、CTログサーバ4のハードウエア構成について説明する。図3は、CTログサーバ4のハードウエア構成を説明する図である。
CTログサーバ4は、図3に示すように、プロセッサであるCPU401と、メモリ402と、通信装置403と、記憶媒体404とを有する。各部は、バス405を介して互いに接続される。
記憶媒体404は、例えば、制御処理を行うためのプログラム410を記憶するプログラム格納領域(図示しない)を有する。また、記憶媒体404は、例えば、制御処理を行う際に用いられる情報を記憶する記憶部430(以下、情報格納領域430とも呼ぶ)を有する。なお、記憶媒体404は、例えば、HDDやSSDであってよい。
CPU401は、記憶媒体404からメモリ402にロードされたプログラム410を実行して制御処理を行う。
また、通信装置403は、ネットワークNWを介して端末装置3等との通信を行う。
[通信先サーバのハードウエア構成]
次に、通信先サーバ2のハードウエア構成について説明する。図4は、通信先サーバ2のハードウエア構成を説明する図である。
通信先サーバ2は、図4に示すように、プロセッサであるCPU201と、メモリ202と、通信装置203と、記憶媒体204とを有する。各部は、バス205を介して互いに接続される。
記憶媒体204は、例えば、制御処理を行うためのプログラム210を記憶するプログラム格納領域(図示しない)を有する。また、記憶媒体204は、例えば、制御処理を行う際に用いられる情報を記憶する記憶部230(以下、情報格納領域230とも呼ぶ)を有する。なお、記憶媒体204は、例えば、HDDやSSDであってよい。
CPU201は、記憶媒体204からメモリ202にロードされたプログラム210を実行して制御処理を行う。
また、通信装置203は、ネットワークNWを介して端末装置3等との通信を行う。
[認証局サーバのハードウエア構成]
次に、認証局サーバ1のハードウエア構成について説明する。図5は、認証局サーバ1のハードウエア構成を説明する図である。
認証局サーバ1は、図5に示すように、プロセッサであるCPU101と、メモリ102と、通信装置103と、記憶媒体104とを有する。各部は、バス105を介して互いに接続される。
記憶媒体104は、例えば、制御処理を行うためのプログラム110を記憶するプログラム格納領域(図示しない)を有する。また、記憶媒体104は、例えば、制御処理を行う際に用いられる情報を記憶する記憶部130(以下、情報格納領域130とも呼ぶ)を有する。なお、記憶媒体104は、例えば、HDDやSSDであってよい。
CPU101は、記憶媒体104からメモリ102にロードされたプログラム110を実行して制御処理を行う。
また、通信装置103は、ネットワークNWを介して端末装置3等との通信を行う。
[DNSサーバのハードウエア構成]
次に、DNSサーバ5のハードウエア構成について説明する。図6は、DNSサーバ5のハードウエア構成を説明する図である。
DNSサーバ5は、図6に示すように、プロセッサであるCPU501と、メモリ502と、通信装置503と、記憶媒体504とを有する。各部は、バス505を介して互いに接続される。
記憶媒体504は、例えば、制御処理を行うためのプログラム510を記憶するプログラム格納領域(図示しない)を有する。また、記憶媒体504は、例えば、制御処理を行う際に用いられる情報を記憶する記憶部530(以下、情報格納領域530とも呼ぶ)を有する。なお、記憶媒体504は、例えば、HDDやSSDであってよい。
CPU501は、記憶媒体504からメモリ502にロードされたプログラム510を実行して制御処理を行う。
また、通信装置503は、ネットワークNWを介して端末装置3等との通信を行う。
[情報処理システムの機能]
次に、情報処理システム10の機能について説明を行う。
[端末装置の機能]
初めに、端末装置3の機能について説明を行う。図7は、端末装置3の機能のブロック図である。
端末装置3は、図7に示すように、例えば、CPU301やメモリ302等のハードウエアとプログラム310とが有機的に協働することにより、入力受付部311と、証明書要求部312と、認証局特定部313と、第1アドレス要求部314と、第2アドレス要求部315と、アドレス判定部316と、アクセス実行部317と、アクセス制御部318とを含む各種機能を実現する。
また、端末装置3は、例えば、図7に示すように、証明書CEを情報格納領域330に記憶する。
入力受付部311は、例えば、通信先サーバ2に対するアクセス要求の入力を受け付ける。具体的に、入力受付部311は、例えば、作業者が端末装置3を介して入力したアクセス要求を受け付ける。
証明書要求部312は、複数のサーバの証明書CEを管理するCTログサーバ4に対して、通信先サーバ2の証明書CEの送信要求を送信する。そして、証明書要求部312は、CTログサーバ4から送信された通信先サーバ2の証明書CEを受信する。その後、証明書要求部312は、例えば、受信した通信先サーバ2の証明書CEを情報格納領域330に記憶する。
認証局特定部313は、証明書要求部312が受信した通信先サーバ2の証明書CEに含まれる情報に基づき、通信先サーバ2の証明書CEの発行元の認証局サーバ1を特定する。具体的に、認証局特定部313は、例えば、通信先サーバ2の証明書に含まれるIPアドレスを参照することにより、通信先サーバ2の証明書CEの発行元の認証局サーバ1を特定する。
第1アドレス要求部314は、認証局特定部313が特定した認証局サーバ1に対して、通信先サーバ2のIPアドレスの送信要求を送信する。具体的に、第1アドレス要求部314は、例えば、認証局サーバ1に対して、通信先サーバ2のIPアドレスの送信要求を通信先サーバ2の証明書CEに含まれる情報の一部とともに送信する。なお、第1アドレス要求部314は、この場合、証明書CEに含まれる情報の一部として、例えば、通信先サーバ2のFQDN(Fully Qualified Domain Name)を送信する。また、第1アドレス要求部314は、この場合、証明書CEに含まれる情報の一部として、例えば、通信先サーバ2のFQDNと通信先サーバ2の証明書CEの識別番号とを送信する。そして、第1アドレス要求部314は、認証局サーバ1から送信された通信先サーバ2のIPアドレスを受信する。
第2アドレス要求部315は、各サーバ(通信先サーバ2を含む)のIPアドレスと識別情報(例えば、ドメイン名等)とを対応付けて管理するDNSサーバ5に対して、通信先サーバ2のIPアドレスの送信要求を送信する。具体的に、第2アドレス要求部315は、DNSサーバ5に対して、通信先サーバ2のIPアドレスの送信要求を通信先サーバ2のFQDNとともに送信する。そして、第2アドレス要求部315は、DNSサーバ5から送信された通信先サーバ2のIPアドレスを受信する。
アドレス判定部316は、第1アドレス要求部314が受信したIPアドレスと、第2アドレス要求部315が受信したIPアドレスとが一致するか否かを判定する。
アクセス実行部317は、例えば、IPアドレスが一致するとアドレス判定部316が判定した場合、通信先サーバ2に対するアクセスを開始する。
アクセス制御部318は、例えば、IPアドレスが一致しないとアドレス判定部316が判定した場合、通信先サーバ2に対するアクセスを制限する。
[CTログサーバの機能]
次に、CTログサーバ4の機能について説明を行う。図8は、CTログサーバ4の機能のブロック図である。
CTログサーバ4は、図8に示すように、例えば、CPU401やメモリ402等のハードウエアとプログラム410とが有機的に協働することにより、登録要求受信部411と、証明書登録部412と、証明書要求受信部413と、証明書送信部414とを含む各種機能を実現する。
また、CTログサーバ4は、例えば、図8に示すように、証明書CEを情報格納領域430に記憶する。
登録要求受信部411は、例えば、認証局サーバ1から証明書CEの登録要求を受信する。
証明書登録部412は、登録要求受信部411が受信した登録要求に対応する証明書CEを情報格納領域430に記憶(登録)する。
証明書要求受信部413は、端末装置3から証明書CE(通信先サーバ2の証明書CE)の送信要求を受信する。
証明書送信部414は、証明書要求受信部413が受信した送信要求に対応する証明書CEを端末装置3に送信する。
[通信先サーバの機能]
次に、通信先サーバ2の機能について説明を行う。図9は、通信先サーバ2の機能のブロック図である。
通信先サーバ2は、図9に示すように、例えば、CPU201やメモリ202等のハードウエアとプログラム210とが有機的に協働することにより、証明書要求部211と、アドレス要求受信部212と、アドレス送信部213とを含む各種機能を実現する。
また、通信先サーバ2は、例えば、図9に示すように、証明書CEを情報格納領域230に記憶する。
証明書要求部211は、認証局サーバ1に対して、通信先サーバ2の証明書CEの送信要求(発行要求)を送信する。そして、証明書要求部211は、認証局サーバ1から通信先サーバ2の証明書CEを受信する。その後、証明書要求部211は、例えば、受信した通信先サーバ2の証明書CEを情報格納領域230に記憶する。
アドレス要求受信部212は、認証局サーバ1から通信先サーバ2のIPアドレスの送信要求を受信する。具体的に、アドレス要求受信部212は、例えば、認証局サーバ1が所定のパスを介して送信した送信要求を受信する。さらに具体的に、アドレス要求受信部212は、例えば、認証局サーバ1が通信先サーバ2のメールアドレスに対して送信した送信要求を受信する。
アドレス送信部213は、アドレス要求受信部212が受信した送信要求に対応するIPアドレスを認証局サーバ1に送信する。
[認証局サーバの機能]
次に、認証局サーバ1の機能について説明を行う。図10は、認証局サーバ1の機能のブロック図である。
認証局サーバ1は、図10に示すように、例えば、CPU101やメモリ102等のハードウエアとプログラム110とが有機的に協働することにより、証明書要求受信部111と、証明書発行部112と、証明書送信部113と、証明書登録要求部114と、アドレス要求受信部115と、通信先特定部116と、アドレス要求部117と、アドレス送信部118とを含む各種機能を実現する。
また、認証局サーバ1は、例えば、図10に示すように、第1対応情報131を情報格納領域130に記憶する。
証明書要求受信部111は、例えば、通信先サーバ2から証明書CEの送信要求(発行要求)を受信する。
証明書発行部112は、証明書要求受信部111が受信した送信要求(発行要求)に対応する証明書CEを発行する。
証明書送信部113は、証明書発行部112が発行した証明書CEを通信先サーバ2に送信する。
証明書登録要求部114は、証明書発行部112が発行した証明書CEの登録要求をCTログサーバ4に送信する。
アドレス要求受信部115は、端末装置3から通信先サーバ2のIPアドレスの送信要求を受信する。具体的に、アドレス要求受信部115は、例えば、端末装置3から通信先サーバ2のIPアドレスの送信要求とともに通信先サーバ2の証明書CEに含まれる情報の一部(例えば、通信先サーバ2のFQDN)を受信する。
通信先特定部116は、例えば、情報格納領域130に記憶された第1対応情報131を参照し、アドレス要求受信部115が受信した送信要求に対応するメールアドレスを特定する。第1対応情報131は、例えば、各サーバ(通信先サーバ2を含む)のFQDNとメールアドレスとを対応付けた情報である。
アドレス要求部117は、例えば、通信先特定部116が特定したメールアドレスに対して、通信先サーバ2のIPアドレスの送信要求を送信する。そして、アドレス要求部117は、通信先サーバ2から送信された通信先サーバ2のIPアドレスを受信する。
アドレス送信部118は、端末装置3に対して、アドレス要求部117が受信した通信先サーバ2のIPアドレスを送信する。
[DNSサーバの機能]
次に、DNSサーバ5の機能について説明を行う。図11は、DNSサーバ5の機能のブロック図である。
DNSサーバ5は、図11に示すように、例えば、CPU501やメモリ502等のハードウエアとプログラム510とが有機的に協働することにより、アドレス要求受信部511と、アドレス特定部512と、アドレス送信部513とを含む各種機能を実現する。
また、DNSサーバ5は、例えば、図11に示すように、第2対応情報531を情報格納領域530に記憶する。
アドレス要求受信部511は、端末装置3から通信先サーバ2のIPアドレスの送信要求を受信する。
アドレス特定部512は、DNSサーバ5を含む複数のDNSサーバの情報格納領域(情報格納領域530を含む)に分散して記憶された第2対応情報531を参照し、アドレス要求受信部511が受信した送信要求に対応するIPアドレスを特定する。第2対応情報531は、例えば、各サーバ(通信先サーバ2を含む)のFQDNとIPアドレスとを対応付けた情報である。
すなわち、アドレス特定部512は、DNSサーバ5の情報格納領域530に記憶された第2対応情報531に含まれる情報に加え、他のDNSサーバから取得した情報(他のDNSサーバの情報格納領域に記憶された第2対応情報531に含まれる情報)を参照することにより、アドレス要求受信部511が受信した送信要求に対応するIPアドレスを特定する。
アドレス送信部513は、アドレス特定部512が特定したIPアドレスを端末装置3に送信する。
[第1の実施の形態の概略]
次に、第1の実施の形態の概略について説明する。図12は、第1の実施の形態における制御処理の概略を説明するフローチャート図である。また、図13は、第1の実施の形態における制御処理の概略を説明する図である。
端末装置3は、図12に示すように、制御タイミングになるまで待機する(S1のNO)。制御タイミングは、例えば、作業者が端末装置3を介して通信先サーバ2に対するアクセス要求を送信したタイミングである。
そして、制御タイミングになった場合(S1のYES)、端末装置3は、複数のサーバの証明書CEを管理するCTログサーバ4に対して、通信先サーバ2の証明書CEの送信要求を送信する(S2)。
その後、端末装置3は、CTログサーバ4から送信された通信先サーバ2の証明書CEを受信するまで待機する(S3のNO)。
そして、CTログサーバ4から送信された通信先サーバ2の証明書CEを受信した場合(S3のYES)、端末装置3は、S3の処理で受信した証明書CEに含まれる情報に基づき、S3の処理で受信した証明書CEの発行元の認証局サーバ1を特定する(S4)。
その後、端末装置3は、S4の処理で特定した認証局サーバ1に対して、通信先サーバ2のアドレス情報(IPアドレス)の送信要求を送信する(S5)。
すなわち、本実施の形態における端末装置3は、図13に示すように、DNSサーバ5に対してIPアドレスの問い合わせを行うことなく、通信先サーバ2のIPアドレスを取得する。
これにより、端末装置3は、所望のIPアドレスではないIPアドレスの取得を抑制することが可能になる。
[第1の実施の形態の詳細]
次に、第1の実施の形態の詳細について説明する。図14から図19は、第1の実施の形態における制御処理の詳細を説明するフローチャート図である。また、図20及び図21は、第1の実施の形態における制御処理の詳細を説明する図である。
[端末装置における制御処理]
初めに、端末装置3において行われる制御処理について説明を行う。図14及び図15は、端末装置3における制御処理を説明するフローチャート図である。
端末装置3の入力受付部311は、図14に示すように、通信先サーバ2に対するアクセス要求の入力を受け付けるまで待機する(S11のNO)。具体的に、例えば、通信先サーバ2がWebサーバである場合、入力受付部311は、通信先サーバ2に格納されたWebページの閲覧要求の入力を受け付けるまで待機する。
そして、通信先サーバ2に対するアクセス要求の入力を受け付けた場合(S11のYES)、端末装置3の証明書要求部312は、複数のサーバの証明書CEを管理するCTログサーバ4に対して、S11の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2の証明書CEの送信要求を送信する(S12)。
その後、証明書要求部312は、CTログサーバ4から通信先サーバ2の証明書CEを受信するまで待機する(S13のNO)。
そして、CTログサーバ4から通信先サーバ2の証明書CEを受信した場合(S13のYES)、端末装置3の認証局特定部313は、S13の処理で受信した証明書CEに含まれる情報を参照し、S13の処理で受信した証明書CEの発行元の認証局サーバ1を特定する(S14)。
具体的に、認証局特定部313は、例えば、S13の処理で受信した証明書CEに含まれる情報のうち、証明書CEの発行元である認証局サーバのIPアドレスを参照することにより、S13の処理で受信した証明書CEの発行元の認証局サーバ1を特定する。
続いて、端末装置3の第1アドレス要求部314は、S14の処理で特定した認証局サーバ1に対して、S11の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2のIPアドレスの送信要求を、S13の処理で受信した証明書CEに含まれる情報の一部とともに送信する(S15)。
具体的に、第1アドレス要求部314は、例えば、S11の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2のIPアドレスの送信要求を、S13の処理で受信した証明書CEに含まれる通信先サーバ2のFQDNとともに送信する。
その後、第1アドレス要求部314は、認証局サーバ1から通信先サーバ2のIPアドレスを受信するまで待機する(S16のNO)。
そして、認証局サーバ1から通信先サーバ2のIPアドレスを受信した場合(S16のYES)、端末装置3の第2アドレス要求部315は、図15に示すように、各サーバの識別情報とIPアドレスとを対応付けて管理するDNSサーバ5に対して、S11の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2のIPアドレスの送信要求を、通信先サーバ2の識別情報(例えば、FQDN)とともに送信する(S21)。
その後、第2アドレス要求部315は、DNSサーバ5から通信先サーバ2のIPアドレスを受信するまで待機する(S22のNO)。
そして、DNSサーバ5から通信先サーバ2のIPアドレスを受信した場合(S22のYES)、端末装置3のアドレス判定部316は、S16の処理で受信したIPアドレスと、S22の処理で受信したIPアドレスとが一致するか否かを判定する(S23)。
その結果、IPアドレスが一致すると判定した場合(S24のYES)、端末装置3のアクセス制御部318は、S11の処理で入力を受け付けたアクセス要求に対応するアクセスを許可する(S25)。
すなわち、端末装置3は、CTログサーバ4から受信した通信先サーバ2の証明書CEに含まれる情報を用いることにより、認証局サーバ1から通信先サーバ2のIPアドレスを取得する。また、端末装置3は、通信先サーバ2のIPアドレスをDNSサーバ5から取得する。そして、端末装置3は、それぞれ取得した各IPアドレスが一致した場合、DNSサーバ5から送信されたIPアドレスが通信先サーバ2のIPアドレスとして正当なものであったと判定し、そのIPアドレスに対するアクセスを許可する。
その後、端末装置3のアクセス実行部317は、S11の処理で入力を受け付けたアクセス要求に対応するアクセスを開始する(S26)。
一方、IPアドレスが一致しないと判定した場合(S24のNO)、アクセス制御部318及びアクセス実行部317は、S25及びS26の処理を行わない。
すなわち、認証局サーバ1から取得したIPアドレスとDNSサーバ5から取得したIPアドレスとが一致しなかった場合、端末装置3は、DNSサーバ5等に対する攻撃が行われており、端末装置3が受信したIPアドレスが偽のDNSサーバから送信されたものである可能性があると判定し、そのIPアドレスに対するアクセスの許可を行わない。
これにより、端末装置3は、例えば、偽のDNSサーバから送信されたIPアドレスに対するアクセスが行われることの抑制が可能になる。
[CTログサーバにおける制御処理]
次に、CTログサーバ4において行われる制御処理について説明を行う。図16は、CTログサーバ4における制御処理を説明するフローチャート図である。
CTログサーバ4の証明書要求受信部413は、図16に示すように、端末装置3から証明書CEの送信要求を受信するまで待機する(S31のNO)。
そして、端末装置3から証明書CEの送信要求を受信した場合(S31のYES)、CTログサーバ4の証明書送信部414は、S41の処理で受信した送信要求の送信元(端末装置3)に対して、S31の処理で受信した送信要求に対応する証明書を送信する(S32)。
[認証局サーバにおける制御処理]
次に、認証局サーバ1において行われる制御処理について説明を行う。図17は、認証局サーバ1における制御処理を説明するフローチャート図である。
認証局サーバ1のアドレス要求受信部115は、図17に示すように、端末装置3から通信先サーバ2のIPアドレスの送信要求と、通信先サーバ2の証明書CEに含まれる情報の一部(例えば、通信先サーバ2のFQDN)とを受信するまで待機する(S41のNO)。
そして、端末装置3から通信先サーバ2のIPアドレスの送信要求等を受信した場合(S41のYES)、認証局サーバ1の通信先特定部116は、情報格納領域130に記憶された第1対応情報131を参照し、S41の処理で受信した証明書CEに対応するメールアドレスを特定する(S42)。すなわち、通信先特定部116は、この場合、例えば、認証局サーバ1が通信先サーバ2の証明書CEの発行を行った際に用いたメールアドレスの特定を行う。以下、第1対応情報131の具体例について説明を行う。
[第1対応情報の具体例]
図20は、第1対応情報131の具体例について説明する図である。
図20に示す第1対応情報131は、第1対応情報131に含まれる各情報を識別する「項番」と、各サーバのFQDNが設定された「FQDN」と、各サーバのメールアドレスが設定された「メールアドレス」とを項目として有する。
具体的に、図20に示す第1対応情報131において、例えば、「項番」が「1」である情報には、「FQDN」として「server01.AAA.co.jp」が設定され、「メールアドレス」として「xxx@AAA.co.jp」が設定されている。
また、図20に示す第1対応情報131において、例えば、「項番」が「2」である情報には、「FQDN」として「server02.BBB.co.jp」が設定され、「メールアドレス」として「yyy@BBB.co.jp」が設定されている。図20に含まれる他の情報についての説明は省略する。
そのため、例えば、S41の処理で受信した通信先サーバ2のFQDNが「server01.AAA.co.jp」である場合、通信先特定部116は、通信先サーバ2のメールアドレスとして「xxx@AAA.co.jp」を特定する。
図17に戻り、アドレス要求部117は、S42の処理で特定したメールアドレスに対して、S41の処理で受信した送信要求に対応するIPアドレスの送信要求を送信する(S43)。
その後、アドレス要求部117は、S41の処理で受信した送信要求に対応するIPアドレスを通信先サーバから受信するまで待機する(S44のNO)。
そして、S41の処理で受信した送信要求に対応するIPアドレスを通信先サーバ2から受信した場合(S44のYES)、端末装置3のアドレス送信部118は、S41の処理で受信した送信要求等の送信元(端末装置3)に対し、S44の処理で受信したIPアドレス(通信先サーバ2のIPアドレス)を送信する(S45)。
[通信先サーバにおける制御処理]
次に、通信先サーバ2において行われる制御処理について説明を行う。図18は、通信先サーバ2における制御処理を説明するフローチャート図である。
通信先サーバ2のアドレス要求受信部212は、図18に示すように、認証局サーバ1からIPアドレスの送信要求を受信するまで待機する(S51のNO)。
具体的に、アドレス要求受信部212は、通信先サーバ2のメールサーバ(図示しない)に対して定期的にアクセスを行うことによって新着メールを取得する。そのため、例えば、認証局サーバ1から受信したメールがメールサーバに存在する場合、アドレス要求受信部212は、認証局サーバ1から送信されたメールを併せて取得する。
そして、認証局サーバ1からIPアドレスの送信要求を受信した場合(S52のYES)、通信先サーバ2のアドレス送信部213は、S51の処理で受信した送信要求の送信元(認証局サーバ1)に対して、自サーバのIPアドレスを送信する(S52)。
[DNSサーバにおける制御処理]
次に、DNSサーバ5において行われる制御処理について説明を行う。図19は、DNSサーバ5における制御処理を説明するフローチャート図である。
DNSサーバ5のアドレス要求受信部115は、図19に示すように、端末装置3から通信先サーバ2のIPアドレスの送信要求と通信先サーバ2のFQDNとを受信する(S61のNO)。
そして、端末装置3から通信先サーバ2のIPアドレスの送信要求等を受信した場合(S61のYES)、DNSサーバ5のアドレス特定部512は、情報格納領域530等に記憶された第2対応情報531を参照し、S61の処理で受信したFQDNに対応するIPアドレスを特定する(S62)。以下、第2対応情報531の具体例について説明を行う。
[第2対応情報の具体例]
図21は、第2対応情報531の具体例について説明する図である。
図21に示す第2対応情報531は、第2対応情報531に含まれる各情報を識別する「項番」と、各サーバのFQDNが設定された「FQDN」と、各サーバのIPアドレスが設定された「IPアドレス」とを項目として有する。
具体的に、図21に示す第2対応情報531において、「項番」が「1」である情報には、「FQDN」として「server01.AAA.co.jp」が設定され、「IPアドレス」として「111.111.111.111」が設定されている。
また、図21に示す第2対応情報531において、「項番」が「2」である情報には、「FQDN」として「server02.BBB.co.jp」が設定され、「IPアドレス」として「222.222.222.222」が設定されている。図21に含まれる他の情報についての説明は省略する。
そのため、例えば、S61の処理で受信した通信先サーバ2のFQDNが「server01.AAA.co.jp」である場合、通信先特定部116は、通信先サーバ2のIPアドレスとして「111.111.111.111」を特定する。
図19に戻り、DNSサーバ5のアドレス送信部513は、S61の処理で受信した送信要求の送信元(端末装置3)に対して、S62の処理で特定したIPアドレスを送信する(S63)。
このように、第1の実施の形態における端末装置3は、複数のサーバの証明書CEを管理するCTログサーバ4に対して、通信先サーバ2の証明書CEの送信要求を送信する。そして、端末装置3は、CTログサーバ4から通信先サーバ2の証明書CEを受信すると、受信した証明書CEに含まれる情報に基づき、受信した証明書CEの発行元の認証局サーバ1を特定する。その後、端末装置3は、特定した認証局サーバ1に対して、通信先サーバ2のIPアドレスの送信要求を送信する。
すなわち、第1の形態における端末装置3は、DNSサーバ5に対してIPアドレスの問い合わせを行うことなく、通信先サーバ2のIPアドレスを取得する。また、第1の実施の形態における端末装置3は、通信先サーバ2に対するアクセス要求の入力を受け付けた場合であっても、S23の処理においてIPアドレスが一致すると判定されるまでの間、通信先サーバ2に対するアクセス要求に対応するアクセスを許可しない。
これにより、端末装置3は、所望のIPアドレスではないIPアドレス(例えば、偽のDNSサーバから送信されたIPアドレス)に対するアクセスを抑制することが可能になる。
[第2の実施の形態]
次に、第2の実施の形態について説明する。図22及び図23は、第2の実施の形態における制御処理を説明するフローチャート図である。なお、第2の実施の形態における制御処理のうち、CTログサーバ4における処理、認証局サーバ1における処理、通信先サーバ2における処理及びDNSサーバ5における処理については、第1の実施の形態における制御処理と同じ内容であるため説明を省略する。
[端末装置における制御処理]
入力受付部311は、図22に示すように、通信先サーバ2に対するアクセス要求の入力を受け付けるまで待機する(S111のNO)。
そして、通信先サーバ2に対するアクセス要求の入力を受け付けた場合(S111のYES)、アクセス実行部117は、S111の処理で入力を受け付けたアクセス要求に対応するアクセスを開始する(S112)。
すなわち、第2の実施の形態における端末装置3は、通信先サーバ2に対するアクセス要求の受け付けに応じて、そのアクセス要求に対応するアクセスを開始する。
これにより、端末装置3は、アクセス要求に対応するアクセスを、制御処理の実行の終了を待つことなく行うことが可能になる。そのため、端末装置3は、例えば、制御処理の実行に時間を要する場合であっても、アクセス要求に対応するアクセスを迅速に開始することが可能になる。
一方、この場合、第2の実施の形態における端末装置3は、アクセス要求に対応するアクセスに伴う情報の入力を禁止する。
これにより、端末装置3は、偽のDNSサーバ等に対して作業者の個人情報等が入力されることの防止が可能になる。
続いて、証明書要求部312は、複数のサーバの証明書CEを管理するCTログサーバ4に対して、S111の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2の証明書CEの送信要求を送信する(S113)。
その後、証明書要求部312は、CTログサーバ4から通信先サーバ2の証明書CEを受信するまで待機する(S114のNO)。
そして、CTログサーバ4から通信先サーバ2の証明書CEを受信した場合(S114のYES)、認証局特定部313は、S114の処理で受信した証明書CEに含まれる情報を参照し、S114の処理で受信した証明書CEの発行元の認証局サーバ1を特定する(S115)。
続いて、第1アドレス要求部314は、S115の処理で特定した認証局サーバ1に対して、S111の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2のIPアドレスを、S114の処理で受信した証明書CEに含まれる情報の一部(例えば、通信先サーバ2のFQDN)とともに送信する(S116)。
その後、第1アドレス要求部314は、図23に示すように、認証局サーバ1から通信先サーバ2のIPアドレスを受信するまで待機する(S121のNO)。
そして、認証局サーバ1から通信先サーバ2のIPアドレスを受信した場合(S121のYES)、第2アドレス要求部315は、各サーバの識別情報とIPアドレスとを対応付けて管理するDNSサーバ5に対して、S111の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2のIPアドレスの送信要求を、通信先サーバ2のFQDNとともに送信する(S122)。
その後、第2アドレス要求部315は、DNSサーバ5から通信先サーバ2のIPアドレスを受信するまで待機する(S123のNO)。
そして、DNSサーバ5から通信先サーバ2のIPアドレスを受信した場合(S123のYES)、アドレス判定部316は、S16の処理で受信したIPアドレスと、S123の処理で受信したIPアドレスとが一致するか否かを判定する(S124)。
その結果、IPアドレスが一致すると判定した場合(S125のYES)、アクセス制御部318は、S111の処理で入力を受け付けたアクセス要求に対応するアクセスに伴う情報の入力を許可する(S126)。
すなわち、端末装置3は、それぞれ取得した各IPアドレスが一致した場合、DNSサーバ5から送信されたIPアドレスが通信先サーバ2のIPアドレスとして正当なものであったと判定し、そのIPアドレスに対するアクセスに伴って行われる情報の入力を許可する。
これにより、端末装置3は、アクセス要求に対応するアクセスを迅速に開始するとともに、偽のDNSサーバ等に対して作業者の個人情報等が入力されないように制御することが可能になる。
[第3の実施の形態]
次に、第3の実施の形態について説明する。
[端末装置の機能]
初めに、第3の実施の形態における端末装置3の機能について説明を行う。図24は、第3の実施の形態における端末装置3の機能のブロック図である。なお、第3の実施の形態におけるCTログサーバ4の機能、認証局サーバ1の機能、通信先サーバ2の機能及びDNSサーバ5の機能については、第1の実施の形態及び第2の実施の形態における制御処理と同じ内容であるため説明を省略する。
端末装置3は、図24に示すように、例えば、CPU301やメモリ302等のハードウエアとプログラム310とが有機的に協働することにより、図7で説明した各種機能に加え、第3アドレス要求部319を実現する。
また、端末装置3は、図7で説明した場合と同様に、例えば、証明書CEを情報格納領域330に記憶する。
第3アドレス要求部319は、DNSキャッシュサーバ(図示しない)に対して、通信先サーバ2のIPアドレスの送信要求を送信する。DNSキャッシュサーバは、端末装置3からの問い合わせに応じてDNSサーバ5から送信されたIPアドレスを記憶するサーバである。また、第3アドレス要求部319は、DNSキャッシュサーバから送信された通信先サーバ2のIPアドレスを受信する。
[第3の実施の形態におけるフローチャート図]
次に、第3の実施の形態におけるフローチャート図について説明を行う。図25から図27は、第3の実施の形態における制御処理を説明するフローチャート図である。なお、第3の実施の形態における制御処理のうち、CTログサーバ4における処理、認証局サーバ1における処理、通信先サーバ2における処理及びDNSサーバ5における処理は、第1の実施の形態及び第2の実施の形態における制御処理と同じ内容であるため説明を省略する。
[端末装置における制御処理]
入力受付部311は、図25に示すように、通信先サーバ2に対するアクセス要求の入力を受け付けるまで待機する(S131のNO)。
そして、通信先サーバ2に対するアクセス要求の入力を受け付けた場合(S131のYES)、端末装置3の第3アドレス要求部319は、DNSキャッシュサーバに対して、通信先サーバ2のIPアドレスの送信要求を送信する(S132)。
その後、第3アドレス要求部319は、DNSキャッシュサーバから通信先サーバ2のIPアドレスが送信されるまで待機する(S133)。
そして、DNSキャッシュサーバから通信先サーバ2のIPアドレスが送信された場合(S133のYES)、アクセス制御部318は、図27に示すように、S131の処理で入力を受け付けたアクセス要求に対応するアクセスを許可する(S155)。
その後、アクセス実行部317は、S131の処理で入力を受け付けたアクセス要求に対応するアクセスを開始する(S156)。
一方、DNSキャッシュサーバから通信先サーバ2のIPアドレスが送信されなかった場合、または、DNSキャッシュサーバから通信先サーバ2のIPアドレスが記憶されていない旨の情報が送信された場合(S133のNO)、端末装置3は、S141以降の処理を行う。
すなわち、例えば、DNSサーバ5に対する通信先サーバ2のIPアドレスの問い合わせが過去にも行われおり、そのIPアドレスがDNSキャッシュサーバに格納されている場合、端末装置3は、DNSキャッシュサーバから送信されたIPアドレスが正当なIPアドレスであると判定し、そのIPアドレスに対するアクセスを許可する。
これにより、端末装置3は、制御処理の実行に伴うCTログサーバ4や認証局サーバ1の処理負担を軽減させることが可能になる。
なお、S133の処理において、DNSキャッシュサーバから通信先サーバ2のIPアドレスが送信された場合であっても、そのIPアドレスがDNSキャッシュサーバに記憶された日時が所定日時よりも前である場合、端末装置3は、DNSキャッシュサーバから送信されたIPアドレスが正当なIPアドレスでない可能性があると判定し、S141以降の処理を行うものであってもよい。
図25に戻り、DNSキャッシュサーバから通信先サーバ2のIPアドレスが送信されなかった場合、または、DNSキャッシュサーバから通信先サーバ2のIPアドレスが記憶されていない旨の情報が送信された場合(S133のNO)、証明書要求部312は、図26に示すように、複数のサーバの証明書CEを管理するCTログサーバ4に対して、S131の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2の証明書CEの送信要求を送信する(S141)。
その後、証明書要求部312は、CTログサーバ4から通信先サーバ2の証明書CEを受信するまで待機する(S142のNO)。
そして、CTログサーバ4から通信先サーバ2の証明書CEを受信した場合(S142のYES)、認証局特定部313は、S142の処理で受信した証明書CEに含まれる情報を参照し、S142の処理で受信した証明書CEの発行元の認証局サーバ1を特定する(S143)。
続いて、第1アドレス要求部314は、S143の処理で特定した認証局サーバ1に対して、S131の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2のIPアドレスを、S142の処理で受信した証明書CEに含まれる情報の一部(例えば、通信先サーバ2のFQDN)とともに送信する(S144)。
その後、第1アドレス要求部314は、認証局サーバ1から通信先サーバ2のIPアドレスを受信するまで待機する(S145のNO)。
そして、認証局サーバ1から通信先サーバ2のIPアドレスを受信した場合(S145のYES)、第2アドレス要求部315は、図27に示すように、各サーバの識別情報とIPアドレスとを対応付けて管理するDNSサーバ5に対して、S131の処理で入力を受け付けたアクセス要求に対応する通信先サーバ2のIPアドレスの送信要求を、通信先サーバ2の識別情報(例えば、FQDN)とともに送信する(S151)。
その後、第2アドレス要求部315は、DNSサーバ5から通信先サーバ2のIPアドレスを受信するまで待機する(S152のNO)。
そして、DNSサーバ5から通信先サーバ2のIPアドレスを受信した場合(S152のYES)、アドレス判定部316は、S145の処理で受信したIPアドレスと、S152の処理で受信したIPアドレスとが一致するか否かを判定する(S153)。
その結果、IPアドレスが一致すると判定した場合(S154のYES)、アクセス制御部318は、S131の処理で入力を受け付けたアクセス要求に対応するアクセスを許可する(S155)。
その後、アクセス実行部317は、S131の処理で入力を受け付けたアクセス要求に対応するアクセスを開始する(S156)。
これにより、端末装置3は、制御処理の実行に伴うCTログサーバ4や認証局サーバ1の処理負担を軽減させながら、偽のDNSサーバ等に対して作業者の個人情報等が入力されないように制御することが可能になる。
以上の実施の形態をまとめると、以下の付記のとおりである。
(付記1)
端末装置が、複数のサーバの証明書を管理する第1管理サーバに対して、いずれかのサーバの証明書の送信要求を送信し、
前記端末装置が、前記いずれかのサーバの証明書を受信すると、受信した前記証明書に含まれる情報に基づき、受信した前記証明書の発行元の認証局を特定し、
前記端末装置が、特定した前記認証局に対して、前記いずれかのサーバのアドレス情報の送信要求を送信する、
ことを特徴とする制御方法。
(付記2)
付記1において、
前記証明書に含まれる情報は、前記証明書の発行元の認証局のアドレス情報である、
ことを特徴とする制御方法。
(付記3)
付記1において、さらに、
前記認証局が、前記いずれかのサーバのアドレス情報の送信要求を受信すると、前記いずれかのサーバに対して、受信した前記いずれかのサーバのアドレス情報の送信要求を送信し、
前記いずれかのサーバが、前記いずれかのサーバのアドレス情報の送信要求を受信すると、前記認証局に対して、前記いずれかのサーバのアドレス情報を送信し、
前記認証局が、前記いずれかのサーバのアドレス情報を受信すると、前記端末装置に対して、受信した前記いずれかのサーバのアドレス情報を送信する、
ことを特徴とする制御方法。
(付記4)
付記1において、さらに、
前記端末装置が、前記いずれかのサーバのアドレス情報と前記いずれかのサーバの識別情報とを対応付けて管理する第2管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
前記端末装置が、前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とを受信すると、前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致するか否かを判定し、
前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致しないと判定した場合、前記端末装置が、前記端末装置を介した前記いずれかのサーバに対するアクセスを制限する、
ことを特徴とする制御方法。
(付記5)
付記4において、さらに、
前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致すると判定した場合、前記端末装置が、前記端末装置を介した前記いずれかのサーバに対するアクセスを許可する、
ことを特徴とする制御方法。
(付記6)
付記5において、
前記第1管理サーバに対して前記いずれかのサーバの証明書の送信要求を送信する処理と、前記第2管理サーバに対して前記いずれかのサーバのアドレス情報の送信要求を送信する処理とは、前記端末装置が前記いずれかのサーバに対するアクセス要求を受け付けた場合に行われ、さらに、
前記端末装置が、前記いずれかのサーバに対するアクセス要求の入力を受け付けた場合、前記端末装置を介した前記アクセス要求に対応するアクセスを禁止し、
前記アクセスを制限する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスを引き続き禁止し、
前記アクセスを許可する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスを許可する、
ことを特徴とする制御方法。
(付記7)
付記5において、
前記第1管理サーバに対して前記いずれかのサーバの証明書の送信要求を送信する処理と、前記第2管理サーバに対して前記いずれかのサーバのアドレス情報の送信要求を送信する処理とは、前記端末装置が前記いずれかのサーバに対するアクセス要求を受け付けた場合に行われ、さらに、
前記端末装置が、前記いずれかのサーバに対するアクセス要求の入力を受け付けた場合、前記端末装置を介した前記アクセス要求に対応するアクセスを許可するとともに、前記端末装置を介した前記アクセス要求に対応するアクセスに伴う前記いずれかのサーバに対する情報の入力を禁止し、
前記アクセスを制限する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスに伴う前記いずれかのサーバに対する情報の入力を引き続き禁止し、
前記アクセスを許可する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスに伴う前記いずれかのサーバに対する情報の入力を許可する、
ことを特徴とする制御方法。
(付記8)
付記5において、さらに、
前記端末装置が、前記第2管理サーバから過去に送信されたアドレス情報を管理する第3管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
前記第1管理サーバに対して前記いずれかのサーバの証明書の送信要求を送信する処理と、前記第2管理サーバに対して前記いずれかのサーバのアドレス情報の送信要求を送信する処理とは、前記第3管理サーバから前記いずれかのサーバのアドレス情報を受信しなかった場合に行われる、
ことを特徴とする制御方法。
(付記9)
複数のサーバの証明書を管理する第1管理サーバに対して、いずれかのサーバの証明書の送信要求を送信する証明書要求部と、
前記いずれかのサーバの証明書を受信すると、受信した前記証明書に含まれる情報に基づき、受信した前記証明書の発行元の認証局を特定する認証局特定部と、
特定した前記認証局に対して、前記いずれかのサーバのアドレス情報の送信要求を送信する第1アドレス要求部と、を有する、
ことを特徴とする情報処理装置。
(付記10)
付記9において、さらに、
前記いずれかのサーバのアドレス情報と前記いずれかのサーバの識別情報とを対応付けて管理する第2管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信する第2アドレス要求部と、
前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とを受信すると、前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致するか否かを判定するアドレス判定部と、
前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致しないと判定した場合、前記端末装置が、前記端末装置を介した前記いずれかのサーバに対するアクセスを制限するアクセス制御部と、を有する、
ことを特徴とする情報処理装置。
(付記11)
付記10において、
アクセス制御部は、前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致すると判定した場合、前記端末装置が、前記端末装置を介した前記いずれかのサーバに対するアクセスを許可する、
ことを特徴とする情報処理装置。
(付記12)
複数のサーバの証明書を管理する第1管理サーバに対して、いずれかのサーバの証明書の送信要求を送信し、
前記いずれかのサーバの証明書を受信すると、受信した前記証明書に含まれる情報に基づき、受信した前記証明書の発行元の認証局を特定し、
特定した前記認証局に対して、前記いずれかのサーバのアドレス情報の送信要求を送信する、
処理をコンピュータに実行させることを特徴とする制御プログラム。
(付記13)
付記12において、さらに、
前記いずれかのサーバのアドレス情報と前記いずれかのサーバの識別情報とを対応付けて管理する第2管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とを受信すると、前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致するか否かを判定し、
前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致しないと判定した場合、前記端末装置を介した前記いずれかのサーバに対するアクセスを制限する、
処理をコンピュータに実行させることを特徴とする制御プログラム。
(付記14)
付記13において、さらに、
前記いずれかのサーバから送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致すると判定した場合、前記端末装置を介した前記いずれかのサーバに対するアクセスを許可する、
ことを特徴とする制御プログラム。
1:認証局サーバ 2:通信先サーバ
3:端末装置 4:CTログサーバ
5:DNSサーバ

Claims (10)

  1. 端末装置が、複数のサーバの証明書を管理する第1管理サーバに対して、いずれかのサーバの証明書の送信要求を送信し、
    前記端末装置が、前記いずれかのサーバの証明書を受信すると、受信した前記証明書に含まれる情報に基づき、受信した前記証明書の発行元の認証局を特定し、
    前記端末装置が、特定した前記認証局に対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
    前記端末装置が、前記いずれかのサーバのアドレス情報と前記いずれかのサーバの識別情報とを対応付けて管理する第2管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
    前記端末装置が、前記認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とを受信すると、前記認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致するか否かの判定を行い、
    前記端末装置が、前記判定の結果に応じて、前記端末装置を介した前記いずれかのサーバに対するアクセスを制限する、
    ことを特徴とする制御方法。
  2. 請求項1において、
    前記証明書に含まれる情報は、前記証明書の発行元の認証局のアドレス情報である、
    ことを特徴とする制御方法。
  3. 請求項1において、さらに、
    前記認証局が、前記いずれかのサーバのアドレス情報の送信要求を受信すると、前記いずれかのサーバに対して、受信した前記いずれかのサーバのアドレス情報の送信要求を送信し、
    前記いずれかのサーバが、前記いずれかのサーバのアドレス情報の送信要求を受信すると、前記認証局に対して、前記いずれかのサーバのアドレス情報を送信し、
    前記認証局が、前記いずれかのサーバのアドレス情報を受信すると、前記端末装置に対して、受信した前記いずれかのサーバのアドレス情報を送信する、
    ことを特徴とする制御方法。
  4. 請求項1において、さらに、
    認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致しないと判定した場合、前記端末装置が、前記端末装置を介した前記いずれかのサーバに対するアクセスを制限する、
    ことを特徴とする制御方法。
  5. 請求項4において、さらに、
    前記認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致すると判定した場合、前記端末装置が、前記端末装置を介した前記いずれかのサーバに対するアクセスを許可する、
    ことを特徴とする制御方法。
  6. 請求項5において、
    前記第1管理サーバに対して前記いずれかのサーバの証明書の送信要求を送信する処理と、前記第2管理サーバに対して前記いずれかのサーバのアドレス情報の送信要求を送信する処理とは、前記端末装置が前記いずれかのサーバに対するアクセス要求を受け付けた
    場合に行われ、さらに、
    前記端末装置が、前記いずれかのサーバに対するアクセス要求の入力を受け付けた場合、前記端末装置を介した前記アクセス要求に対応するアクセスを禁止し、
    前記アクセスを制限する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスを引き続き禁止し、
    前記アクセスを許可する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスを許可する、
    ことを特徴とする制御方法。
  7. 請求項5において、
    前記第1管理サーバに対して前記いずれかのサーバの証明書の送信要求を送信する処理と、前記第2管理サーバに対して前記いずれかのサーバのアドレス情報の送信要求を送信する処理とは、前記端末装置が前記いずれかのサーバに対するアクセス要求を受け付けた場合に行われ、さらに、
    前記端末装置が、前記いずれかのサーバに対するアクセス要求の入力を受け付けた場合、前記端末装置を介した前記アクセス要求に対応するアクセスを許可するとともに、前記端末装置を介した前記アクセス要求に対応するアクセスに伴う前記いずれかのサーバに対する情報の入力を禁止し、
    前記アクセスを制限する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスに伴う前記いずれかのサーバに対する情報の入力を引き続き禁止し、
    前記アクセスを許可する処理では、前記端末装置を介した前記アクセス要求に対応するアクセスに伴う前記いずれかのサーバに対する情報の入力を許可する、
    ことを特徴とする制御方法。
  8. 請求項5において、さらに、
    前記端末装置が、前記第2管理サーバから過去に送信されたアドレス情報を管理する第3管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
    前記第1管理サーバに対して前記いずれかのサーバの証明書の送信要求を送信する処理と、前記第2管理サーバに対して前記いずれかのサーバのアドレス情報の送信要求を送信する処理とは、前記第3管理サーバから前記いずれかのサーバのアドレス情報を受信しなかった場合に行われる、
    ことを特徴とする制御方法。
  9. 複数のサーバの証明書を管理する第1管理サーバに対して、いずれかのサーバの証明書の送信要求を送信する証明書要求部と、
    前記いずれかのサーバの証明書を受信すると、受信した前記証明書に含まれる情報に基づき、受信した前記証明書の発行元の認証局を特定する認証局特定部と、
    特定した前記認証局に対して、前記いずれかのサーバのアドレス情報の送信要求を送信する第1アドレス要求部と、
    前記いずれかのサーバのアドレス情報と前記いずれかのサーバの識別情報とを対応付けて管理する第2管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信する第2アドレス要求部と、
    前記認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とを受信すると、前記認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致するか否かの判定を行うアドレス判定部と、
    前記判定の結果に応じて、前記いずれかのサーバに対するアクセスを制限するアクセス制限部と、を有する、
    ことを特徴とする情報処理装置。
  10. 複数のサーバの証明書を管理する第1管理サーバに対して、いずれかのサーバの証明書の送信要求を送信し、
    前記いずれかのサーバの証明書を受信すると、受信した前記証明書に含まれる情報に基づき、受信した前記証明書の発行元の認証局を特定し、
    特定した前記認証局に対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
    前記いずれかのサーバのアドレス情報と前記いずれかのサーバの識別情報とを対応付けて管理する第2管理サーバに対して、前記いずれかのサーバのアドレス情報の送信要求を送信し、
    前記認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とを受信すると、前記認証局から送信された前記いずれかのサーバのアドレス情報と、前記第2管理サーバから送信された前記いずれかのサーバのアドレス情報とが一致するか否かの判定を行い、
    前記判定の結果に応じて、前記いずれかのサーバに対するアクセスを制限する、
    処理をコンピュータに実行させることを特徴とする制御プログラム。
JP2019232215A 2019-12-24 2019-12-24 制御方法、情報処理装置及び制御プログラム Active JP7352092B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019232215A JP7352092B2 (ja) 2019-12-24 2019-12-24 制御方法、情報処理装置及び制御プログラム
EP20204942.5A EP3843357B1 (en) 2019-12-24 2020-10-30 Control method, information processing apparatus, and control program
US17/093,338 US11647011B2 (en) 2019-12-24 2020-11-09 Control method, information processing apparatus, and non-transitory computer-readable storage medium for storing control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019232215A JP7352092B2 (ja) 2019-12-24 2019-12-24 制御方法、情報処理装置及び制御プログラム

Publications (2)

Publication Number Publication Date
JP2021099754A JP2021099754A (ja) 2021-07-01
JP7352092B2 true JP7352092B2 (ja) 2023-09-28

Family

ID=73043063

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019232215A Active JP7352092B2 (ja) 2019-12-24 2019-12-24 制御方法、情報処理装置及び制御プログラム

Country Status (3)

Country Link
US (1) US11647011B2 (ja)
EP (1) EP3843357B1 (ja)
JP (1) JP7352092B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002215826A (ja) 2001-01-19 2002-08-02 Hitachi Ltd 証明書自動更新装置および方法
JP2007004373A (ja) 2005-06-22 2007-01-11 Katsuyoshi Nagashima フィッシング詐欺防止のためのメール検証システム
JP2007122692A (ja) 2005-09-30 2007-05-17 Trend Micro Inc セキュリティ管理装置、通信システムおよびアクセス制御方法
JP2007020004A5 (ja) 2005-07-08 2008-05-15
JP2011049745A (ja) 2009-08-26 2011-03-10 Toshiba Corp Dnsキャッシュ・ポイズニング攻撃を防御する装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7177839B1 (en) * 1996-12-13 2007-02-13 Certco, Inc. Reliance manager for electronic transaction system
JP4397675B2 (ja) 2003-11-12 2010-01-13 株式会社日立製作所 計算機システム
JP4213689B2 (ja) * 2005-07-08 2009-01-21 株式会社クローバー・ネットワーク・コム ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム
US8234490B2 (en) * 2007-06-27 2012-07-31 Globalsign K.K. Server certificate issuing system
US8327424B2 (en) * 2009-12-22 2012-12-04 Motorola Solutions, Inc. Method and apparatus for selecting a certificate authority
US8745380B2 (en) * 2010-02-26 2014-06-03 Red Hat, Inc. Pre-encoding a cached certificate revocation list
US8898457B2 (en) * 2010-02-26 2014-11-25 Red Hat, Inc. Automatically generating a certificate operation request
US9178888B2 (en) * 2013-06-14 2015-11-03 Go Daddy Operating Company, LLC Method for domain control validation
US9455980B2 (en) * 2014-12-16 2016-09-27 Fortinet, Inc. Management of certificate authority (CA) certificates
US9641516B2 (en) * 2015-07-01 2017-05-02 International Business Machines Corporation Using resource records for digital certificate validation
JP6084278B1 (ja) 2015-11-27 2017-02-22 株式会社Pfu 情報処理装置、方法およびプログラム
JP6298805B2 (ja) 2015-12-01 2018-03-20 システムプラザ株式会社 電子証明書管理システム、電子証明書利用端末及び電子証明書管理方法
US10652271B2 (en) * 2016-03-25 2020-05-12 Verisign, Inc. Detecting and remediating highly vulnerable domain names using passive DNS measurements
US11032071B2 (en) * 2019-03-29 2021-06-08 Microsoft Technology Licensing, Llc Secure and verifiable data access logging system
US11720718B2 (en) * 2019-07-31 2023-08-08 Microsoft Technology Licensing, Llc Security certificate identity analysis

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002215826A (ja) 2001-01-19 2002-08-02 Hitachi Ltd 証明書自動更新装置および方法
JP2007004373A (ja) 2005-06-22 2007-01-11 Katsuyoshi Nagashima フィッシング詐欺防止のためのメール検証システム
JP2007020004A5 (ja) 2005-07-08 2008-05-15
JP2007122692A (ja) 2005-09-30 2007-05-17 Trend Micro Inc セキュリティ管理装置、通信システムおよびアクセス制御方法
JP2011049745A (ja) 2009-08-26 2011-03-10 Toshiba Corp Dnsキャッシュ・ポイズニング攻撃を防御する装置

Also Published As

Publication number Publication date
JP2021099754A (ja) 2021-07-01
EP3843357A1 (en) 2021-06-30
US20210194867A1 (en) 2021-06-24
EP3843357B1 (en) 2023-03-29
US11647011B2 (en) 2023-05-09

Similar Documents

Publication Publication Date Title
US11546175B2 (en) Detecting and isolating an attack directed at an IP address associated with a digital certificate bound with multiple domains
US11652792B2 (en) Endpoint security domain name server agent
US9258293B1 (en) Safe and secure access to dynamic domain name systems
US9648033B2 (en) System for detecting the presence of rogue domain name service providers through passive monitoring
EP3306900B1 (en) Dns routing for improved network security
EP2420042B1 (en) Cache protection
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
JP2008532133A (ja) Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法
BR102012010346A2 (pt) Servidor de assinatura de extensão de segurança de sistema de nome de domínio (dnssec) e método de criptografar informações de sistema de nome de domínio (dns) utilizando o mesmo
JP2015525991A (ja) パケット受信方法、ディープ・パケット・インスペクション装置及びシステム
US20220109653A1 (en) Techniques for templated domain management
US20230291715A1 (en) System and method for dns tunneling protection
Wazan et al. TLS connection validation by web browsers: Why do web browsers still not agree?
US20220103579A1 (en) System and apparatus for internet traffic inspection via localized dns caching
US20230412563A1 (en) Systems and methods for dns smart access
JP7352092B2 (ja) 制御方法、情報処理装置及び制御プログラム
US9705898B2 (en) Applying group policies
US10462180B1 (en) System and method for mitigating phishing attacks against a secured computing device
JP6249015B2 (ja) 受信装置、受信装置制御方法、受信装置制御プログラム、ネットワークシステム、ネットワークシステム制御方法、及びネットワークシステム制御プログラム
JP7259213B2 (ja) サーバのためのコンピュータプログラムとサーバ
JP5345577B2 (ja) 名前解決装置、名前解決方法および名前解決プログラム
WO2018193692A1 (ja) 情報処理装置、情報処理システム及びプログラム
Bremler-Barr et al. It's Not Where You Are, It's Where You Are Registered: IoT Location Impact on MUD
JP5032246B2 (ja) システムおよび制御方法
JP2010206411A (ja) Dnsサーバー装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220809

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230815

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230828

R150 Certificate of patent or registration of utility model

Ref document number: 7352092

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150